Qu’est-ce qu’un accord de sous-traitance ?
Un accord de sous-traitance (aussi appele Data Processing Agreement ou DPA) est un contrat exige par le RGPD lorsqu’une organisation fait traiter des donnees personnelles par une autre partie. Ce contrat regit les responsabilites et obligations des deux parties.
Quand avez-vous besoin d’un accord de sous-traitance ?
Vous avez besoin d’un accord de sous-traitance lorsque vous partagez des donnees personnelles avec un tiers qui traite ces donnees pour votre compte. Par exemple :
- Votre comptable qui a acces aux donnees du personnel
- Un outil d’e-mail marketing comme Mailchimp ou ActiveCampaign
- Votre service de stockage cloud (Google Workspace, Microsoft 365)
- Un prestataire externe de paie
Que doit-il contenir ?
Le RGPD (Article 28) exige qu’un accord de sous-traitance couvre au minimum les sujets suivants :
- L’objet et la duree du traitement
- La nature et la finalite du traitement
- Le type de donnees personnelles et les categories de personnes concernees
- Les mesures de securite
- Le recours a des sous-traitants ulterieurs
- L’assistance pour les demandes des personnes concernees
- Les obligations de notification en cas de violation de donnees
- La suppression ou la restitution des donnees a la fin du contrat
Que se passe-t-il sans accord de sous-traitance ?
Sans accord de sous-traitance, vous etes en infraction avec le RGPD. L’autorite de controle peut imposer des amendes allant jusqu’a 10 millions d’euros ou 2 % de votre chiffre d’affaires annuel, selon le montant le plus eleve.